M9000多业务板卡最佳实践配置指导书 文档密级：内部公开 if-match acl 3002

if-match service-vlan-id 20

if-match destination-mac 0cda-41b6-41d8 ——匹配目的mac，为本地vlan的虚接口mac地址 #

traffic classifier up_IPS operator and ——上行主IPS流量匹配 if-match acl 3001

if-match service-vlan-id 10

if-match destination-mac 0cda-41b6-41d8 #

traffic behavior down_IPS

redirect interface Ten-GigabitEthernet7/0/2 track-oap ——track OAP协议，检测板卡状态 #

traffic behavior up_IPS

redirect interface Ten-GigabitEthernet7/0/1 track-oap #

qos policy down_IPS

classifier down_IPS behavior down_IPS #

qos policy up_IPS

classifier up_IPS behavior up_IPS #

acl number 3001 ——上行流量匹配 description up_IPS

rule 0 permit ip source 10.1.1.0 0.0.0.255 #

acl number 3002 ——下行流量匹配 description down_ACG

rule 0 permit ip destination 10.1.1.0 0.0.0.255

杭州华三通信技术有限公司

www.h3c.com.cn 第33页, 共43页

M9000多业务板卡最佳实践配置指导书 文档密级：内部公开 #

interface Ten-GigabitEthernet7/0/1 port link-mode bridge description to_IPS port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 10 20 100 port trunk permit pvid vlan 100

undo stp enable ——禁止STP协议 undo mac-address mac-learning enable ——禁止mac地址学习 packet-filter 4000 outbound ——过滤非法报文 port link-aggregation group 3 #

interface Ten-GigabitEthernet7/0/2 port link-mode bridge description to_IPS port link-type trunk

undo port trunk permit vlan 1 port trunk permit vlan 10 20 100 port trunk permit pvid vlan 100 undo stp enable

undo mac-address mac-learning enable packet-filter 4000 outbound

qos apply policy up_ACG inbound ——上行流量重定向到ACG port link-aggregation group 3 #

interface Ten-GigabitEthernet7/0/3 port link-mode bridge description to_IPS

杭州华三通信技术有限公司

www.h3c.com.cn 第34页, 共43页

M9000多业务板卡最佳实践配置指导书 文档密级：内部公开 port link-type trunk

undo port trunk permit vlan 1 port trunk permit vlan 10 20 100 port trunk permit pvid vlan 100 undo stp enable

undo mac-address mac-learning enable packet-filter 4000 outbound port link-aggregation group 3 #

interface Ten-GigabitEthernet7/0/4 port link-mode bridge description to_IPS port link-type trunk

undo port trunk permit vlan 1 port trunk permit vlan 10 20 100 port trunk permit pvid vlan 100 undo stp enable

undo mac-address mac-learning enable packet-filter 4000 outbound port link-aggregation group 3

——四个内联口，分两对，12口一对，34口一对。

如果暂时使用12口，34口不使用，IPS侧可以shutdown，不要关闭M9000测内联口 #

interface Bridge-Aggregation3 port link-type trunk

undo port trunk permit vlan 1 port trunk permit vlan 10 20 100 port trunk permit pvid vlan 100 port trunk pvid vlan 10

杭州华三通信技术有限公司

www.h3c.com.cn 第35页, 共43页

M9000多业务板卡最佳实践配置指导书 文档密级：内部公开 link-aggregation selected-port minimum 4

——最小选择端口数为4，当4个接口中任意一个接口down，聚合口就down.(实际上任何一个接口down都说明插卡出现了问题) undo stp enable

undo mac-address mac-learning enable ——聚合口必须配置 oap enable

——IPS Enhanced插卡做OAP检测必须创建聚合口，将内联口加入聚合口，并在聚合口使能oap协议注册插卡。

内联口必须修改PVID，并本地创建pvid对应的vlan。

IPS和ACG插卡需要使用QoS引流，如果插卡故障，重定向动作通过OAP协议检测到后策略失效，流量不再重定向至插卡。

二层报文过滤配置

需要将常见的二层报文（如广播、组播、ARP）在IPS内部接口上进行过滤防止二层环路导致广播风暴，同时还需配置IPS所在接口禁止学习MAC地址。

acl number 4000 description filter

rule 0 permit type 0800 ffff dest-mac 0cda-41b6-41d8 ffff-ffff-ffff ——允许三层引流报文 rule 10 deny dest-mac 0100-0000-0000 ff00-0000-0000

rule 20 deny dest-mac 3300-0000-0000 ff00-0000-0000 ----阻止组播报文(包含88a7类型) rule 30 permit type 88a7 ffff ——允许oap协议报文 rule 100 deny #

interface Ten-GigabitEthernet7/0/1 port link-mode bridge description to_IPS

杭州华三通信技术有限公司

www.h3c.com.cn 第36页, 共43页